【数据安全】世界上最邪恶的USB外设

案例:电子香烟传播恶意软件

公司高管计算机被黑

最近一名网友在Reddit社会新闻网站上发布了帖子,详细介绍了某大型公司高管的计算机是如何感染不明来源的恶意软件(恶意软件一般包括木马、病毒等)。而通过进一步的调查发现:恶意软件的来源居然是他在网上花了5美元买来的电子香烟!

值得一提的是,这位高管的电脑并不是“裸奔”:系统不仅已经安装了补丁更新,而且还安装了杀毒软件和反恶意程序软件。最初IT技术人员用尽了各种传统方法都没有找出感染恶意软件的源头,于是IT技术人员开始尝试从其他的方面进行调查:

IT人员:你最近在生活上有没有发现什么可疑之处? 高管:没啥,不过我最近在戒烟,从网上买了一根电子烟代替真正的香烟。

凶手就是电子香烟

经调查发现,恶意软件代码被写入了电子香烟的充电器里。当把电子烟插入电脑USB接口充电时,恶意软件会通过网络自动与指令与控制服务器(C&C)通讯,然后感染用户计算机。ID管理公司Bit4Id的信息安全主管Pierluigi Paganini说,电子烟是传播恶意软件的最新载体。

猥琐又奇葩的攻击方式

攻击者可以利用任何可以利用的设备感染处于低防护的网络。尽管这种攻击看起来猥琐又奇葩,但不可否认的是,确实有很多的电子香烟都是通过USB进行充电的(有的使用特殊的连接线,有的直接插入USB接口),这给了攻击者可乘之机。

虽然我们现在没有足够的证据来证明这一消息的可信度,但是我们认为这种攻击还是有可能的。类似用USB设备传播恶意软件的例子在过去就发生过,比如有的攻击者会用电池充电器感染笔记本电脑和移动设备,还有刚刚发生不久的BadUSB事件。

据英国卫报建议:要想规避这种风险,最好买可信赖厂商的USB充电设备,如Aspire,KangerTech和Innokin,不要购买中国的电子设备(又黑我大天朝!)

解密BadUSB:世界上最邪恶的USB外设

概述‍‍

在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。

USB背景知识‍

‍‍1. USB内部结构‍‍

注:BadUSB主要依靠USB驱动器的构建方式,USB通常有一个大容量的可重写的内存芯片用于实际的数据存储,以及一个独立的控制器芯片。控制芯片实际上是一个低功耗计算机,并且与你的笔记本电脑或台式机一样,它通过从内存芯片加载基本的引导程序来启动,类似于笔记本电脑的硬盘驱动器包含一个隐藏的主引导记录(MasterBoot Record)。

‍‍2. USB如何识别‍‍

‍‍3. USB设备的初始化‍‍

‍‍

设备可以拥有多个标识(注:一个设备可以被识别为多种类型):

  • 一个设备通过一个描述符标明它的功能;
  • 一个设备可以拥有多个描述符,如果它支持多种设备类别,例如网络摄像头+麦克风;
  • 设备可以注销,然后再次注册为一个不同的设备;

‍‍可重复编程的外设‍‍

‍‍USB攻击场景‍‍

‍‍1. 在Windows环境下感染USB,然后再控制Linux机器‍‍

键盘模拟足够用于感染和权限提升(不需要软件漏洞)

注:在Linux/Unix操作系统,LD_PRELOAD是一个环境变量,可以影响程序的运行时的链接(Runtimelinker),设置在程序运行前优先加载的动态链接库。通过这个环境变量,可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入恶意程序,从而达到那不可告人的罪恶的目的。

‍‍‍‍2. USB设备篡改Windows系统的DNS设置‍‍

‍‍通过“USB上的DHCP”转移网络流量‍‍‍‍

‍‍意外收获:突破虚拟机‍‍

‍‍‍‍‍‍‍3. Android转移Windows机器的网络流量‍‍‍‍‍‍‍

“我能借用你的笔记本给手机充电吗?”Android手机是最简单的USB攻击平台。

注:Ethernet-Over-USB:将USB接口模拟为以太网接口,实现基于Ethernet的网络连接。

‍‍4. USB引导扇区病毒‍‍‍

‍‍‍5. 攻击方式总结‍‍‍

‍‍防护以及下一步‍‍

‍‍1. 防护对策及缺陷‍‍

‍‍‍‍2. USB外设的可重复编程也有积极的用途‍‍‍‍

‍‍

总结‍‍

以上内容主要源自SRLabs在2014年黑帽子大会上的演讲稿,仅对内容的编排做了调整,花了一周的空余时间翻译的,水平有限,欢迎大家批评指正!

以上两篇文章作者分别为:hujias,Rabbit_Run

摘自:Freebuf.COM

原文发布于微信公众号 - 大数据文摘(BigDataDigest)

原文发表时间:2014-11-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏知晓程序

不知道吃什么?来用小程序点个外卖吧!

17210
来自专栏BestSDK

恶意推送SDK来袭,300多款APP遭破坏

近日,腾讯TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK),取名为“寄生推”,因为其拥有如“寄生虫”一般的恶意推广手段。

14930
来自专栏SAP最佳业务实践

办公室的6S管理

6S管理在办公室中实施,一是为了给企业员工有一个好的工作环境,二是给顾客一个好的印象,好的第一印象就标着成功了一半。   办公室也是企业管理人员工作的场所,同时...

31470
来自专栏企鹅号快讯

打破网络隐私误解!

1、没有人关心隐私!(emmmm,他们很关心好嘛。) 你最近的一次跟你的朋友或家人聊到互联网隐私是什么时候呢? 对于大多数人来说,答案从来没有,可以说是非常悲惨...

21090
来自专栏安恒信息

Blackhat2013黑帽大会:五款值得一看的黑客工具

2013年的黑帽大会将于7月27日到8月1日期间在拉斯维加斯召开。在即将到来的2013黑帽安全大会上,安全研究者们将会介绍一些黑客工具。 这些工具可以解决的问题...

28350
来自专栏安恒信息

你在微信不经意点开的链接 可能成为别人追踪你的标靶

一条八卦新闻、一个微信红包、一次小游戏邀请……你会不会在微信对话框中经常收到类似链接?如果你不小心点开了,那你的地理位置信息很有可能就被对方“盯上”了。

23940
来自专栏腾讯云数据库(TencentDB)

腾讯分布式数据库TDSQL成为DCA首批分布式事务数据库认证产品

2018年11月30日,为期两天的数据中心联盟(DCA)第七批大数据产品评测结果评审会圆满结束。腾讯分布式数据库TDSQL在分布式事务数据库的50项产品能力能力...

48640
来自专栏织云平台团队的专栏

看世界杯直播?海外运维实践了解一下

28830
来自专栏FreeBuf

[专题]Blackhat2013黑帽大会:五款值得一看的黑客工具

2013年的黑帽大会将于7月27日到8月1日期间在拉斯维加斯召开。在即将到来的2013黑帽安全大会上,安全研究者们将会介绍一些黑客工具。 这些工具可以解决的...

19770
来自专栏BestSDK

防止云数据泄露,做好这5步很重要

为了保证业务及时运行,业务的安全性可以成为事后的考虑。在将产品或服务交付给客户的手中之后,企业喜欢一劳永逸。但当今的企业需要一个既安全又可靠的安全云环境。   ...

64860

扫码关注云+社区

领取腾讯云代金券